Обсуждение настройки и работы сервисов, резервирования, сетевых настроек и вопросов безопасности ОС.
Модераторы: SLEDopit , Модераторы разделов
xar0h
Сообщения: 164ОС: разные
Сообщение xar0h 18.06.2013 12:48
Есть шлюз
ppp0 (использует eth0) - внешний
eth1 - внутренний
ip_forward врублен,
Код: Выделить всё
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE, все стандартно, все работает, пинги идут.
Цель - оставить выход в интернет на несколько определенных адресов - остальное - под нож.
Как я это вижу.
для начала (пинги теперь идут только со шлюза, с пк, подключенного к нему, - нет),
потом - делаем разрешения в FORWARD.
Собственно, что делаю
Код: Выделить всё
iptables -A FORWARD -s blahblahblah -j ACCEPT
но ничего не меняется, на блаблаблу пинг с пк, подключенного к шлюзу не идет.
Где я ошибся?
I'm just a bastard but at least i admit it.
Bizdelnick
Модератор
Сообщения: 21498Статус: nulla salus belloОС: Debian GNU/Linux
Сообщение Bizdelnick 18.06.2013 12:56
Во-первых, Вам надо не -s, а -d. Во-вторых, не забыли про iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
Пишите правильно:
в консоли вк у́пе (с чем-либо) в о бщемоо бще в течение (часа) о кню ансо у молчанию приемле мом ао ватьф ик
Ленивая Бестолочь
Бывший модератор
Сообщения: 2760ОС: Debian; gentoo
Сообщение Ленивая Бестолочь 18.06.2013 12:57
iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
Солнце садилось в море, а люди с неоконченным высшим образованием выбегали оттуда, думая, что море закипит.
drBatty
Сообщения: 8735Статус: GPG ID: 4DFBD1D6 дом горит, козёл не видит...ОС: Slackware-current
Сообщение drBatty 18.06.2013 15:27
xar0h писал(а): ↑ 18.06.2013 12:48
iptables -A FORWARD -s blahblahblah -j ACCEPT
но ничего не меняется, на блаблаблу пинг с пк, подключенного к шлюзу не идет.
тут уже сказали, что --destination нужно, раз вы хотите НА блаблаблу отправлять. И да, отправить это половина дела, нужно ещё и ответ принять, для этого уже выше указали строчку
Код: Выделить всё
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
(точнее ИМХО тут conntrack надо юзать, но именно FORWARD).
Bizdelnick
Модератор
Сообщения: 21498Статус: nulla salus belloОС: Debian GNU/Linux
Сообщение Bizdelnick 18.06.2013 17:29
Соглашусь с предыдущими ораторами, сейчас считается кошерным использовать не iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A FORWARD -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
Пишите правильно:
в консоли вк у́пе (с чем-либо) в о бщемоо бще в течение (часа) о кню ансо у молчанию приемле мом ао ватьф ик
xar0h
Сообщения: 164ОС: разные
Сообщение xar0h 19.06.2013 06:44
2 Bizdelnick
I'm just a bastard but at least i admit it.
Bizdelnick
Модератор
Сообщения: 21498Статус: nulla salus belloОС: Debian GNU/Linux
Сообщение Bizdelnick 19.06.2013 09:32
xar0h писал(а): ↑ 19.06.2013 06:44
Ну, в моём случае нужен только первый вариант, ибо FORWARD.
Прошу прощения, ошибочка закралась. Там в обоих вариантах должен быть FORWARD (исправил).
Пишите правильно:
в консоли вк у́пе (с чем-либо) в о бщемоо бще в течение (часа) о кню ансо у молчанию приемле мом ао ватьф ик
drBatty
Сообщения: 8735Статус: GPG ID: 4DFBD1D6 дом горит, козёл не видит...ОС: Slackware-current
Сообщение drBatty 22.06.2013 06:41
Bizdelnick писал(а): ↑ 18.06.2013 17:29
Хотя оба варианта работоспособны.
у меня почему-то вариант со state не работает. А с conntrack работает.
